EU域内に拠点のない管理者又は処理者の代理人

GDPR第27条

  1. 「EUでサービスや製品を提供している」
  2. 「EUでユーザー行動をトラッキングしている」
  3. 「しかしEU域内に拠点はない」

上記に当てはまる企業は、EU一般データ保護規則(GDPR)に従い、EU代理人を選任しなければなりません。EU代理人とは、EUの居住者から寄せられるデータ保護関連の問い合わせを受ける相談窓口であり、データ保護監督当局との連絡役でもあります。

EU代理人が必要な企業とは、どのような企業ですか?

Chart

Enobyteのデータ保護専門家を、貴社のEU代理人に 欧州市場で事業を行う上でのサポート役として、是非Enobyteをご利用ください。

豊富な実務経験

弊社のアドバイザーとデータ保護オフィサー(DPO)は、データ保護の事務や法務に長年携わってきた専門家ばかりです。

国際業務に強い

弊社の対応言語は日本語、英語、ドイツ語です。 また、弊社はEU諸国のデータ保護法に詳しいだけでなく、特に日本・EU間のデータ移転に関する業務も得意としています。

ベネフィット

  1. 効率的 - 自動化されたプロセスだから、速くて確実
  2. 24x7 サービス - 24時間、365日でデータ侵害時や非常時に緊急対応
  3. 認証付き - TÜV-DSB認証、IAPP CIPP/E資格を持つデータ保護オフィサー(DPO)

Chart

EU域内に拠点を持たずに、EU域内で物品やサービスを提供している場合、その企業が個人データを取り扱っているのであれば、必ずEU域内から代理人を選任しなければなりません(GDPR第27条第1項) 。

根拠となるのはGDPRに伴い欧州データ保護法に導入された「市場地原則」です。これによると、GDPRとはEU域内(=市場地)の全居住者の個人データの取扱いを規定するものであり、 その適用対象は、EU域内に拠点を持つ企業に限定されません(GDPR第3条第2項)。つまり、データ処理自体がどこで行われようと、全く関係ないのです。

さらに言えば、「第三国」(=EU域外)の企業であっても、EU域内の消費者向けに商品やサービスを提供するのであれば、有償・無償に関わらず、この企業はGDPRに従わなければなりません。
同じことが、データ主体のEU域内での行動が監視される(つまり、個人がプロファイリングの対象となる)場合にも、当てはまります。

監視には、例えば個人の好みを特定したり、行動を予測するためにサイト訪問者を分析することも含まれます。その一方で、企業サイトが単に「EUからもアクセス可能」なだけであれば、必ずしもGDPRの適用対象とはみなされません(GDPR備考(Recital)23)。

EU代理人は、データ処理の責任者から任命され、データ主体(個人)や監督当局とのやり取りを代理する連絡窓口としての役割を務めます。この役割によって、代理人は、データ処理の責任者またはその委託事業者の責任を制限したり転嫁することなく、GDPRの実施および順守に取り組むことができます。

EU代理人の選任義務が免除されることはありますか。

A: GDPRは、EU域内に拠点を持たない企業に対して、EU代理人の選任義務を免除する例外項目を設けています。

第27条第2項(a)によると、代理人を選任する義務は、以下の場合には適用されません。

  1. データ処理が一時的にしか行われない
  2. 特に保護すべきデータを大量に取り扱うことがない
  3. その取扱いから生じうるデータ保護上のリスクは低い

ただし、EU代理人の選任義務の例外要件は累積的でなければなりません。つまり、上記の要件のうち一つしか該当しない場合には、例外の対象とはなりません。